Compte rendu de la conférence du 4 juillet 2008 organisée par le Club IES de l’AAE IAE de Paris & le Club ESIEA. Sur le thème de la cyberguerre cyberterrorisme.
Cyberguerre & Cyberterrorisme : Etat des lieux
Animé par Louis Jouanny, Eric Filiol & Eric Singer
Compte – rendu rédigé par Jérôme Bondu, Président du Club IES, et Louis Jouanny, responsable du Club ESIEA.
Présentation des intervenants (Cyberguerre & Cyberterrorisme)
- Louis Jouanny : Directeur Marketing Europe – Informatique Mobile – Fujitsu Siemens Computers. Expert et pionnier en informatique mobile.
- Eric Filiol : expert en virologie et cryptologie opérationnelle, éditeur en chef du « Journal Of International Virology », enseignant chercheur à l’ESAT (Rennes) et à l’ESIEA (Paris et Laval), auteur de plusieurs articles et ouvrages sur les virus et la cybercriminalité.
- Eric Singer : Responsable de la Sécurité des Systèmes d’Information (RSSI) Grands Magasins Galeries Lafayette – BHV. Ancien responsable coordination et conduite de crise gouvernementale SSI au SGDN (DCSSI).
Les nouveaux comportements nomades et les implications en termes de sécurité
Intervention de Louis Jouanny
L’informatique mobile et les comportements nomades se développent dans l’entreprise, notamment dans les grandes structures.
Pourquoi un développement de l’informatique mobile et de comportements nomades ?
D’abord pour l’avantage concurrentiel que cela procure : gain de productivité, fluidité de la communication sans fil, réactivité, vitesse d’exécution, disponibilité des collaborateurs où qu’ils soient, amélioration de la qualité des données en entreprise…
Ensuite parce que les jeunes diplômés les plus brillants, qui ont grandi avec internet refusent d’entrer dans des entreprises qui ne leur fourniraient pas ces outils de la mobilité. Notons que ces outils sont en même temps porteurs d’une image de marque pour l’entreprise et pour ses employés.
Du fait de l’amélioration des technologies et du changement démographique au sein des utilisateurs, la communication sans fils fait partie intégrante de la mobilité. Pas de mobilité sans liaison sans fils.
Tous ces points sont confirmés dans l’étude commanditée en avril de cette année par Fujitsu Siemens Computers dans huit pays Européen, auprès d’entreprises de différente taille.
Quelles incidences ?
Le problème survient lorsque les entreprises n’ont pas intégré les dangers liés à ces solutions mobiles. L’étude citée plus haut montre que 35% des entreprises françaises disent ne pas avoir de règles de mise en place d’informatique mobile, et en ce qui concerne les règles de sécurité ce chiffre monte à près de 80% !
La sécurité doit considérer le facteur humain
Avant tout, la sécurité est à prendre en compte de bout en bout, en commençant par les personnels. C’est en effet le facteur humain, les comportements à risques qui sont le maillon faible de tout système de sécurité. Diverses études viennent confirmer cette insouciance. Ainsi un test mené par une société spécialisée en sécurité informatique montre qu’à un simple appel téléphonique du type « Bonjour, je suis Mr. XXX ingénieur système au service informatique. Nous devons réinitialiser et reconfigurer votre poste et pour ce faire, merci de vous déconnecter de toute application pendant la procédure et de me donner votre login et mot de passe » ? une écrasante majorité des personnes testées donnent ces informations en parfaite innocence.
Avec l’informatique mobile, l’entreprise s’ouvre sur l’extérieur et donc augmente sa vulnérabilité. Des règles de bon sens comme de ne pas laisser son portable n’importe où, le ranger, l’attacher, l’enfermer dans un tiroir pour en éviter l’accès sont primordiales. De plus, au plan technologique il convient d’assurer l’authentification de l’utilisateur, de préférence de manière biométrique. Puis de couvrir le minimum, c’est à dire d’installer un antivirus, un fire wall personnel, un anti phising, et un anti-spyware et surtout d’en assurer les mises à jour régulières.
Facteur aggravant, la mobilité se développe justement à l’heure où la cybercriminalité est en plein boum et change de nature : Des « gentils » adolescents amateurs de défis surtout spectaculaires (changer la page d’accueil d’une grande organisation, pénétrer le système d’un organisme fédéral américain pour le « fun »), on est passé à une cybercriminalité professionnelle, dont le chiffre d’affaires rejoint rapidement celui des autres grands secteurs d’activité mafieux : drogue, contrefaçon, etc.
Les protections et les points faibles pour contrer la Cyberguerre et Cyberterrorisme
Si aucun système de sécurité n’offre de protection absolue, l’effet dissuasif d’un système de protection un tant soit peu cohérent est essentiel en termes relatifs : sauf ciblage extrêmement précis, et exactement comme dans les cambriolages à domicile, à la première difficulté un peu sérieuse le hacker préférera s’attaquer au voisin moins bien protégé. De fait ces protections peuvent être de véritables atouts dans la Cyberguerre et Cyberterrorisme.
Comme le feront après lui les deux autres intervenants, Louis Jouany a insisté sur le fait que dans la chaîne informatique le point faible était l’Homme. Et de multiplier les exemples, du notebook oublié dans un moyen de transport aux mots de passe trop faciles ou carrément absents, en passant par l’absence des protections élémentaires que sont les antivirus et firewalls ?
En somme, ces précautions élémentaires prises, des moyens beaucoup plus sophistiqués sont maintenant disponibles, jusque et y compris la reconnaissance biométrique.
Les nouveaux visages de la cybercriminalité
Intervention d’Eric Filiol
Quels sont les difficultés ?
La cybercriminalité recèle des spécificités par rapport à la criminalité ou à la guerre- conventionnelle.
La première est que l’on ne peut pas estimer les forces adverses tant qu’elles ne se sont pas manifestées. Si dans un conflit entre Etat, on peut estimer le nombre de soldats et de chars, aucun comptage n’est possible dans le monde virtuel.
D’autant que les attaques peuvent être masquées. Ainsi pour affaiblir une cible, il est facile dans le monde virtuel de s’attaquer à ses fournisseurs. La désorganisation d’un hôpital ou de la signalisation autoroutière (feu de croisement) en sont des exemples. Il est très difficile de faire une cartographie de l’ensemble des systèmes critiques.
Enfin, les menaces peuvent venir d’éléments déconcertants de simplicité (voir l’exemple Estonien ci-dessous). Dans certains cas, il n’y a pas de code malveillant, mais simplement la multiplication d’une requête « normale » à des fins malveillantes.
Exemple Estonien subissant Cyberguerre et Cyberterrorisme
En mai 2007 la volonté du gouvernement Estonien de déplacer un monument Russe a déclenché un vague de protestation de la minorité (25%) russe du pays. A ces événements (émeutes, pillages) conventionnels, s’est ajouté une cyberattaque.
Quelques points de repère : L’opération, n’a duré que quelques jours, début mai. Le 9 mai a été la journée la plus sensible, et le 11 mai les attaques ont cessé. L’attaque aurait été menée via une cinquantaine de pays. Entre 3 000 et un million d’ordinateurs (chiffres variant selon les sources) auraient été utilisés (ordinateurs « zombies » contenant un petit logiciel dormant déposé, puis utilisé à l’insu de leur propriétaire).
Ces attaques ont été d’une simplicité déconcertante. Explication : Quand un serveur veut vérifier que la communication avec un autre serveur est opérationnelle, on dit qu’il envoie un Ping. L’autre répond par un Pong. C’est une opération banale et courante. L’attaque a justement consisté en l’envoi d’un nombre très important de requêtes de type Ping à des serveurs hébergeant des sites gouvernementaux. Les serveurs étant saturés par les réponses à ces millions de requêtes Ping, les pages des sites ne s’affichaient plus (déni de service).
Il est impossible à l’heure actuelle de définir qui se cache derrière cette attaque. Le gouvernement Estonien à accusé l’Etat Russe. Les conjectures sont multiples. L’une d’elle, envisagée par un officier de l’OTAN, veut que l’Estonie aurait mené cette opération de « communication » contre elle-même pour mettre en évidence le besoin d’un centre de « cyber défense » qu’elle se proposait d’héberger. Et de fait, quelques mois après, ce centre voyait le jour en partie financé par des fonds Européens. Un très bon article du Monde évoque ces éléments.
Ces attaques peuvent aussi viser des entreprises
Si ce cas est symptomatique d’une forme d’attaque à l’échelle d’un Etat, il faut savoir que c’est monnaie courante à l’encontre des entreprises privées dans le monde.
il existe une autre possibilité analogue d’attaque. Cette dernière utilise également une requête licite et indispensable. Ainsi, on envoie au serveur un grand nombre de messages destinés à une adresse internet qui n’existe pas. Le serveur est bien obligé de rechercher l’adresse, d’en constater la non-existence, et d’émettre une réponse de non-exécution. On imagine avec quelle efficacité la répétition de cette demande peut saturer le serveur.
Exemple Chinois traitant de la Cyberguerre & Cyberterrorisme
Un ouvrage récemment écrit par des hauts gradés Chinois affirmait le concept de « guerre sans restriction ». L’idée sous-jacente est qu’il n’y a aucune règle, et que tout peut être utilisé comme une arme. Y compris donc les cyber-attaques.
Pourtant cette relative liberté de ton envers l’extérieur, contraste avec le manque de liberté numérique intérieure. Ainsi l’armée contrôle ce qui a été baptisé le « Grand FireWall de Chine » qui exerce une censure drastique sur les messages démocratiques qui peuvent émerger dans le monde numérique Chinois. 70 000 forces de police sont affectés à cette tâche.
La stratégie de la plupart des cyber-attaques est celle de « l’avance de phase ». Il s’agit de mettre à mal l’organisation de la cible, avant de passer à une attaque conventionnelle.
Exemple Américain
Aussi, l’exemple américain est très intéressant. La doctrine de sécurité Etats-unienne a évolué récemment, pour « légaliser » la guerre offensive en plus de la guerre défensive. Ainsi il est de notoriété publique que l’administration utilise des codes vers espions à des fins d’investigation. L’État Allemand a récemment annoncé qu’il faisait de même. Et l’État Français devrait lui emboiter le pas.
L’attaque d’infrastructures critiques est (plus que l’ennemi en frontal) l’objet de toutes les attentions des stratèges de la cyberguerre. Et ces attaques numériques peuvent avoir des effets physiques. Ainsi un document américain récemment déclassifié a montré un générateur électrique se détériorer physiquement à la suite d’une attaque virale.
On a vu que les moyens peuvent être simples (attaque par requête Ping). Il y a encore des choses plus simples. Il suffit pour un pirate de laisser trainer une clé USB dans un lieu fréquenté par des concurrents. La probabilité pour qu’un collaborateur soit curieux de voir ce qu’il y a dans cette clé, le mette sur son ordinateur de travail, et infecte ainsi son outil de travail et tout le réseau, est loin d’être nulle. Pour peu que la clé ait le logo du concurrent et qu’il y a un fichier intitulé « Clients » on augmente encore les statistiques.
Pour finir le conférencier explique que :
- C’est un domaine dans lequel on ne peut être sûr de rien.
- Qu’il existe trois types d’agresseurs potentiels : Les mafias (Europe centrale et Asie du Sud-Est notamment) ; Les entités étatiques, dans certains pays ; Les terroristes.
- Tout se joue au niveau de l’humain, mais à condition de le considérer à travers toute le processus : fournisseur, décideur, utilisateur.
Le conférencier a cité en exemple l’attaque par le virus SLAMMER (qu’avait évoquée le précédent conférencier) : la faille exploitée par ce virus avait été détectée et corrigée six mois plus tôt. Il eût suffi que les administrateurs de réseaux et/ou utilisateurs fassent régulièrement leurs mises à jour pour que l’attaque tourne court.
Les moyens de se protéger contre la Cyberguerre & Cyberterrorisme
Intervention d’Eric Singer
Le rôle de l’État
Avant les attentats du 11 septembre, le plan Vigipirate ne prévoyait pas de volet cyberterrorisme. Cela a été chose faite avec la création du COSSI en 2003. Cet organisme (Coordination interministérielle de la prévention contre les attaques informatiques) travaille en permanence (24h sur 24 / 7jours sur 7) depuis 2005. Il est composé de deux services :
– Le CEVECS, qui prends en charge la veille 24×7 précitée et la conduite opérationnelle en période de crise.
– Le CERTA, qui assure un travail de plus long terme incluant la prévention, l’analyse des cas rencontrés, l’édition de logiciels. Il est vivement recommandé de se connecter sur son site, qui est une mine d’information pour les RSSI et SSI (Responsables de Services et Services de Sécurité Informatique).
Les grandes tendances
Une nouvelle génération de virus commence à émerger ou est en préparation, qui est :
– Polymorphes
– Auto chiffrant
Pour lesquels les antivirus actuels seront inopérants.
Les deux approches de la SSI
On rencontre deux approches pour cette fonction. D’abord, une essentiellement focalisée sur les résultats financiers. L’autre, plus stratégique, privilégiant la réactivité et valorisant la sécurité en tant que telle.
Conclusion
Comme les deux intervenants précédents, Eric Singer a insisté sur la priorité à donner au facteur humain, et donc à l’éducation du plus grand nombre.
Compte-rendu rédigé par Jérôme Bondu, Président du Club IES, et Louis Jouanny, responsable du Club ESIEA.
Conférences dans le grand amphi de l’ESIEA Plus de 120 inscrits
Sur le même thème :
A lire : La cybersécurité, de Nicolas Arpagian.
Compte rendu de la conférence : Panorama des menaces en cybersécurité.
Compte rendu : Intelligence Economique et sécurité informationnelle.
Vidéo: Cybersécurité – panorama des attaques et des cybercriminels.